Wat hebben OVH en CloudNordic gemeen?

OVH is in Nederland een bekende naam, van het Deense CloudNordic zal tot nu toe niemand hebben gehoord. Dat laatste zal snel veranderen, want de Denen hebben een probleem dat niet onderdoet aan dat van OVH. Dat probleem betreft de klanten.

OVH bekend

OVH heeft tot nu toe om twee redenen de pers gehaald. Het bedrijf werd en wordt vaak genoemd in artikelen die gaan over cybercrime. Het dienstenaanbod, de pricing en het soort klanten maakt dat erg logisch. Er is meermaals schoon schip gemaakt, maar dat kan niet verhinderen dat de infra van deze partij veelvuldig misbruikt wordt.

De andere reden waarom OVH zo bekend is komt door de brand van enkele jaren geleden. Dat is ook waar het in dit artikel verder om gaat. OVH presteerde het jarenlang een datacenter met houten wanden en vloeren te gebruiken. Dat was amper bekend. Totaal onbekend was dat er geen volwaardige brandblusinstallatie was en dat het op een paar meter afstand stond van het tweede datacenter.

De brand zorgde voor het verlies van honderden fysieke en duizenden virtuele servers. Klanten die gebruik maakten van de back-up services moesten vaststellen dat de data was verloren. De back-ups stonden in het tweede datacenter dat ook zware brand en rookschade had opgelopen.

CloudNordic

CloudNordic is een kleine Deense providers. De website van het bedrijf is op dit moment niet zichtbaar. Dat komt omdat het bedrijf het slachtoffer is geworden van ransomware. Klanten is verteld dat alle data al verloren moet worden beschouwd. De Denen weigeren namelijk te betalen.

Hoe deze aanval is uitgevoerd is een verhaal op zich. De reacties op beide voorvallen zijn voorspelbaar en tot op zekere hoogte ook identiek. De meeste commentaren gaan in op het verlies van de back-ups. Hoezo immutable, hoezo professioneel?

Wat tot nu toe nog niet is opgemerkt is dat de klanten van OVH en CloudNordic meer gemeen hebben dan op het eerste gezicht duidelijk wordt. Ze zitten in het zelfde schuitje omdat ze geen primaire en/of back-up data meer hebben. Ze hebben een probleem, omdat ze nooit de werking en fysieke locatie van back-ups hebben uitgezocht.

Maar er is nog iets en dat daar anno 2023 niet direct op wordt gewezen door de IT pers is wel een issue. Het verlies van data, of het nu komt door brand of ransomware, betekent ook dat er onverwijld melding moet worden gedaan bij de toezichthouders. Verlies van data in welke vorm dan ook is een datalek en daar is de AVG heel duidelijk over.

OVH heeft korte tijd na de brand de klanten gewezen op de noodzaak (=plicht) een AVG melding te doen. CloudNordic heeft dat nog niet, maar dat zal wel snel verandefren